很多人表示,在通讀了這六件可怕的數(shù)據(jù)泄露案件之后,才突然意識(shí)到數(shù)據(jù)保護(hù)和數(shù)據(jù)安全的重要性,甚至表示非常的"后怕",因?yàn)檫@些案件的故事差一點(diǎn)就在自己的IT系統(tǒng)上重演。
其實(shí),就在發(fā)布此次的著名數(shù)據(jù)泄露案件時(shí),另一起巨大的數(shù)據(jù)泄露事件又發(fā)生了:英國(guó)政府向外界披露,經(jīng)過財(cái)政大臣達(dá)林證實(shí),英國(guó)皇家稅務(wù)及海關(guān)總署在郵寄過程中丟失了兩張重要數(shù)據(jù)光盤,其中包括約2500萬人的個(gè)人資料和銀行信息,而整個(gè)英國(guó)的人口在去年剛剛突破6000萬大關(guān)。
對(duì)此,我們不禁要問,上演這一幕幕數(shù)據(jù)泄露事件的公司,有最注重?cái)?shù)據(jù)保護(hù)的金融集團(tuán),有國(guó)家級(jí)的重點(diǎn)實(shí)驗(yàn)室,有管理森嚴(yán)的國(guó)家政府,如果說這些都不足為奇的話,那么軍方機(jī)構(gòu)和企業(yè)安全軟件公司的數(shù)據(jù)泄露又是為什么呢?
安全意識(shí) 百談不厭
看了文章開頭英國(guó)政府剛剛出現(xiàn)的事件,恐怕很難相信,一個(gè)國(guó)家政府機(jī)構(gòu)會(huì)用郵寄光盤的方式,將全國(guó)近一半人口的資料曝露于危險(xiǎn)之中。
無論是媒體、廠商還是第三方機(jī)構(gòu),對(duì)于企業(yè)必須重視數(shù)據(jù)保護(hù)和數(shù)據(jù)安全的問題已經(jīng)談過不下千遍了,市場(chǎng)上出現(xiàn)的廠商越來越多、新技術(shù)層出不窮,顧問、集成商和其他方案供應(yīng)商也不斷在"教育市場(chǎng),教育用戶"。企業(yè)的IT架構(gòu)規(guī)模越來越大,手頭的安全設(shè)備也不斷增加。
隨著在數(shù)據(jù)安全和數(shù)據(jù)保護(hù)方面的工作越來越大,從支持筆記本電腦的信息到保護(hù)歸檔和管理安全密鑰,數(shù)據(jù)保護(hù)工作做的越來越徹底,越來越復(fù)雜,這些"假象"使得我們–包括企業(yè)、廠商、第三方機(jī)構(gòu)和媒體輿論都一度相信:數(shù)據(jù)保護(hù)已經(jīng)成為包括存儲(chǔ)經(jīng)理在內(nèi)的大多數(shù)IT人士的最優(yōu)先考慮事項(xiàng)。
但是,我們都錯(cuò)了。
根據(jù)企業(yè)策略集團(tuán)ESG(Enterprise Strategy Group)針對(duì)288位存儲(chǔ)專業(yè)人士的調(diào)查結(jié)果,其中30%的人明確表示他們公司的安全策略中并沒有包含存儲(chǔ)系統(tǒng),還有20%的人并不知道或不能夠說出他們公司的存儲(chǔ)安全是否被攻破。
而事實(shí)恰好佐證了ESG的這項(xiàng)調(diào)查:我們所刊載的六件著名數(shù)據(jù)泄露案件,泄露的原因包括:讓工作人員攜帶存儲(chǔ)重要數(shù)據(jù)的磁帶、光盤等介質(zhì)外出、關(guān)鍵數(shù)據(jù)不進(jìn)行嚴(yán)格加密、沒有建立完善的入侵檢測(cè)和防御體系、工作人員沒有執(zhí)行安全策略、將重要數(shù)據(jù)保存在員工的個(gè)人筆記本電腦上。
我們真的很難說企業(yè)的安全意識(shí)已經(jīng)足夠強(qiáng)了,實(shí)際上,就在前幾天與一個(gè)系統(tǒng)管理員聊天的時(shí)候,他還在抱怨,其所在公司目前還只是靠個(gè)人殺毒軟件和防火墻保護(hù)公司會(huì)計(jì)的電腦,當(dāng)他希望能夠批些預(yù)算來保護(hù)數(shù)據(jù)的時(shí)候,得到的回答是:反正也沒出過問題,這筆錢就省下吧!
從上面的例子可以看出,目前部門企業(yè)對(duì)于數(shù)據(jù)保護(hù)和數(shù)據(jù)安全的意識(shí)仍然淡薄,而即使是對(duì)此已經(jīng)引起"重視"的企業(yè),他們的重視程度大部分也只是停留在表面之上。
人為因素仍是最大隱憂
與企業(yè)對(duì)于數(shù)據(jù)保護(hù)與數(shù)據(jù)安全意識(shí)的淡薄相伴的,是人為因素的越發(fā)顯現(xiàn),從我們所刊發(fā)的六件數(shù)據(jù)泄露案件來看,其中包括了員工隨意攜帶數(shù)據(jù)存儲(chǔ)介質(zhì)、對(duì)敏感數(shù)據(jù)不進(jìn)行加密、私自進(jìn)行偷盜犯罪以及將敏感數(shù)據(jù)存儲(chǔ)在自己的筆記本電腦等數(shù)據(jù)存儲(chǔ)介質(zhì)上等諸多問題。
作為存儲(chǔ)管理、系統(tǒng)配置、策略制定并執(zhí)行的載體,存儲(chǔ)管理員以及所有的能夠接觸企業(yè)數(shù)據(jù)的人員都對(duì)企業(yè)的數(shù)據(jù)負(fù)有極大數(shù)據(jù)保護(hù)與數(shù)據(jù)安全責(zé)任,換句話說,保護(hù)數(shù)據(jù)不泄露不丟失是他們的必要工作,一直以來,他們這些人中的大部分都做得不錯(cuò),但正是這種"做的不錯(cuò)",滋生了一種對(duì)于人為控制和員工能力的過分自信與依賴,這種信任就像我們相信在我們身邊為我們修電腦的"電腦高手"或是那些偶然能夠用"土法偏方"偶然治愈病人小恙的江湖大夫,隨著企業(yè)對(duì)這類人群的逐步加深信任并放松警惕,再加上他們本身的自信不斷膨脹,他們逐步開始將企業(yè)制定的存儲(chǔ)策略拋之腦后,慢慢的開始對(duì)數(shù)據(jù)保護(hù)和數(shù)據(jù)安全問題產(chǎn)生麻木的感覺,接下來,人為造成的數(shù)據(jù)泄漏也就成為了必然。
近一段時(shí)間以來,我們看到了存儲(chǔ)自動(dòng)化市場(chǎng)的興旺,包括惠普在內(nèi)的國(guó)際廠商都在進(jìn)入這個(gè)新興的市場(chǎng),在此之前,數(shù)據(jù)中心自動(dòng)化技術(shù)一直都將存儲(chǔ)管理排斥在外,而現(xiàn)在,存儲(chǔ)自動(dòng)化技術(shù)的到來與人為因素造成存儲(chǔ)問題頻發(fā)息息相關(guān)。
很多用戶因?yàn)榕率?duì)存儲(chǔ)系統(tǒng)配置的自主權(quán)與控制權(quán),于是對(duì)存儲(chǔ)自動(dòng)化技術(shù)有些拒之千里,這恰恰顯示出了他們對(duì)于自身的自信,在這種自信下,我們往往看到的是不去執(zhí)行已經(jīng)制定的數(shù)據(jù)存儲(chǔ)策略或是干脆就沒有制定數(shù)據(jù)存儲(chǔ)策略。
我們必須明白,對(duì)于企業(yè)的數(shù)據(jù)保護(hù)和數(shù)據(jù)安全,必須重視企業(yè)內(nèi)部的人為因素,并且通過嚴(yán)格執(zhí)行企業(yè)安全策略來防止人為因素再次"作惡"。
不要給廠商100%的信賴
在我們刊發(fā)的最后一個(gè)案件中,Iron Mountain成為了問題的始作俑者,這個(gè)存儲(chǔ)業(yè)界的重要廠商,自從2005年起就因一系列的數(shù)據(jù)保護(hù)失敗而聞名:包括"時(shí)代華納"磁帶丟失事件,在加拿大和英國(guó)設(shè)備被燒事件,盜用用戶數(shù)據(jù)事件,以及最近發(fā)生的有關(guān)幾十萬路易斯安那大學(xué)生數(shù)據(jù)丟失事件。
而在最近進(jìn)行的民意調(diào)查中,150名回復(fù)者中超過55%的人認(rèn)為Iron Mountain公司對(duì)有關(guān)他們業(yè)務(wù)的數(shù)據(jù)丟失問題根本沒有解釋清楚,由此可以看出,Iron Mountain公司的磁帶傳輸和物理數(shù)據(jù)保護(hù)業(yè)務(wù)是有風(fēng)險(xiǎn)的。
對(duì)此,分析師們認(rèn)為,用戶,而不是Iron Mountain公司應(yīng)該首當(dāng)其沖確保數(shù)據(jù)受到保護(hù),因?yàn)椋耗鞘怯脩糇约旱臄?shù)據(jù)。
企業(yè)的數(shù)據(jù)都存儲(chǔ)在各種各樣的存儲(chǔ)廠商提供的產(chǎn)品上,而那些存儲(chǔ)廠商也在不斷的宣傳自己的數(shù)據(jù)保護(hù)技術(shù)如何高超,保護(hù)在其設(shè)備上的數(shù)據(jù)多么安全,但是用戶們要記得,那些數(shù)據(jù)是自己的,而不是存儲(chǔ)廠商的,他們并未真正重視你的數(shù)據(jù),對(duì)此,專家的建議是,盡可能取消那些可移動(dòng)可拆卸的存儲(chǔ)介質(zhì),定期檢查存儲(chǔ)廠商提供的存儲(chǔ)設(shè)備的運(yùn)轉(zhuǎn)情況,組織專家評(píng)估存儲(chǔ)廠商提供的存儲(chǔ)系統(tǒng)–尤其是數(shù)據(jù)保護(hù)和數(shù)據(jù)安全的部分。
說到這里,我們提醒了用戶要加強(qiáng)數(shù)據(jù)保護(hù)意識(shí),不要以為已經(jīng)風(fēng)平浪靜,要避免人為因素制定保護(hù)策略,并且絕對(duì)不要妄自尊大,而最后,我們更是告訴用戶們,要自己對(duì)自己的數(shù)據(jù)負(fù)責(zé),而不是相信那些賣給你設(shè)備的存儲(chǔ)廠商會(huì)真的把你的事情當(dāng)真。當(dāng)我們?cè)敿?xì)的看完這篇文章時(shí),我想企業(yè)對(duì)如何保護(hù)數(shù)據(jù)有了一個(gè)最基本的認(rèn)識(shí),那就是:到頭來,數(shù)據(jù)保護(hù)和數(shù)據(jù)安全工作,還要靠自己!
昊觀存儲(chǔ):
企業(yè)的數(shù)據(jù)都存儲(chǔ)在各種各樣的存儲(chǔ)廠商提供的產(chǎn)品上,而那些存儲(chǔ)廠商也在不斷的宣傳自己的數(shù)據(jù)保護(hù)技術(shù)如何高超,保護(hù)在其設(shè)備上的數(shù)據(jù)多么安全,但是用戶們要記得,那些數(shù)據(jù)是自己的,而不是存儲(chǔ)廠商的,他們并未真正重視你的數(shù)據(jù),對(duì)此,專家的建議是,盡可能取消那些可移動(dòng)可拆卸的存儲(chǔ)介質(zhì),定期檢查存儲(chǔ)廠商提供的存儲(chǔ)設(shè)備的運(yùn)轉(zhuǎn)情況,組織專家評(píng)估存儲(chǔ)廠商提供的存儲(chǔ)系統(tǒng)–尤其是數(shù)據(jù)保護(hù)和數(shù)據(jù)安全的部分。